ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

4.7 Меры обеспечения безопасности персональных данных

 

Организации должны идентифицировать и реализовывать меры обеспечения безопасности ПДн, чтобы соответствовать требованиям к мерам обеспечения безопасности ПДн, определенным оценкой риска нарушения безопасности ПДн и процессом обработки. Кроме того, реализуемые меры обеспечения безопасности ПДн должны быть документально оформлены, как часть документации по оценке риска обеспечения безопасности ПДн организации. Определенные виды обработки ПДн, возможно, потребуют применения специальных мер обеспечения безопасности ПДн, потребность в которых станет очевидной, как только намеченные действия будут тщательно проанализированы. Оценка риска может оказать помощь организациям в идентификации специфических рисков нарушения безопасности ПДн для рассматриваемых видов обработки.

Организация должна приложить усилия, чтобы разработать собственные меры обеспечения безопасности ПДн, как часть общего подхода "обеспечения защиты ПДн через проектирование", т.е. обеспечение безопасности ПДн должно приниматься в расчет на стадии проектирования систем, обрабатывающих ПДн, а не сдвигаться на последующие этапы.

Поскольку затрагиваются меры обеспечения информационной безопасности, важно отметить, что не вся обработка ПДн требует одного и того же уровня или типа защиты. Организации должны различать операции по обработке ПДн в соответствии с их специфическими рисками, чтобы помочь определению того, какие меры обеспечения информационной безопасности и в каких случаях являются соответствующими. Управление рисками может рассматриваться как основной метод этого процесса, а идентификация мер обеспечения безопасности ПДн также должна являться неотъемлемой частью структуры управления информационной безопасностью организации.